Garder ses précieux bitcoins dans sa tête ? Une idée séduisante… mais catastrophique !

Quand la mémoire fait défaut – La technique du brain wallet consiste à mémoriser la séquence de mots servant à générer les clés privées de son portefeuille Bitcoin. Mais attention ! Lorsque celle-ci n’est pas aléatoire, c’est le meilleur moyen de se faire voler ses fonds. Un article de BitMEX Research le démontre par l’expérience.

Transporter sa fortune… dans sa tête

Théoriquement, pour stocker ses bitcoins, il suffit d’avoir en mémoire sa seed, la séquence de mots servant à générer ses clés privées. Les wallets Bitcoin actuels génèrent cette suite de mots de façon aléatoire. Cela la rend donc plus difficile à mémoriser qu’une phrase construite avec la logique humaine.

L’utilisateur peut donc être tenté de générer ses clés privées avec une phrase populaire, comme les vers d’un poème. Il suffit d’appliquer la fonction de hachage SHA256 à la phrase choisie pour obtenir une clé privée Bitcoin. C’est l’expérience à laquelle s’est livrée l’auteur du papier de BitMEX.

Il a généré, pour son étude, 8 brain wallets issus de phrases différentes et a déposé 0,005 BTC sur chaque adresse. Les phrases sont issues de romans, de chansons populaires, de la Bible ou encore du whitepaper de Satoshi Nakamoto.

BitMEX Research - Passphrases
Phrases utilisées pour générer les 8 brain wallets

Des résultats catastrophiques

L’auteur s’est fait voler 0,04 BTC dédié à cet expérimentation en moins d’une journée. 3 des adresses ont même été vidées avant que la transaction d’approvisionnement ne soit confirmée sur la blockchain. Et pour l’une d’entre elles, la transaction déplaçant les fonds fut observée seulement 0,67 seconde après l’apparition de la transaction d’approvisionnement dans le mempool.

BitMEX Research - Vitesse à laquelle les fonds sont dérobés en secondes
Délai de l’arrivée de la transaction dérobant les fonds dans la mempool

C’est le brain wallet basé sur l’extrait du whitepaper de Bitcoin qui fut le plus résistant. Les fonds ne disparurent qu’après 80 blocs. L’auteur note qu’une même entité a dérobé les fonds de 4 des adresses.

BitMEX Research - Délai au bout duquel les fonds sont dérobés en blocs
Délai au bout duquel les fonds sont dérobés, en blocs

Les frais associés à ces transactions sont très élevés. Cela indique que le hacker est conscient qu’il est en concurrence avec d’autres pour déplacer les fonds au plus vite. Si 2 entités ont connaissance des clés privées, elles vont élever les frais de transaction pour augmenter leur probabilité de réussir.

La rapidité à laquelle les fonds ont été dérobés montre que les hackers spécialisés dans les brainwallets disposent de serveurs tournant 24/7. Ces derniers scannent la blockchain et la memory pool à la recherche de brain wallets faciles à pirater. Pour ce faire, ils disposent probablement d’une énorme banque d’adresses, générées à partir de phrases issues de livres, chansons, papiers de recherche, blogs, tweets ou d’autres médias.

La morale de l’histoire : ne pas créer un brainwallet à partir d’une phrase connue

L’auteur écrit avoir mené la même expérience un an auparavant. Mais à la différence de cette étude, il avait généré les adresses en utilisant des séquences pour sélectionner les mots, tous issus de livres bien connus. Les pirates n’ont pas pu trouver les clés privées générées à partir de cette méthode. Cependant, il insiste sur le fait que ce n’est certainement qu’une question de temps.

Afin d’augmenter le niveau de sécurité de son brain wallet, il faut sélectionner ses mots à partir de différentes sources, publiques et privées. Il est possible d’ajouter de l’entropie, par exemple, grâce à un dé. Mais même cette méthode est risquée.

En conclusion, l’utilisation d’un brain wallet est, dans la plupart des cas, à proscrire. Une sauvegarde chiffrée de ses clés privées, envoyée par mail, est un moyen plus sûr de stocker ses bitcoins. La vitesse à laquelle les fonds ont été dérobés montre que les pirates sont en perpétuelle recherche d’erreurs humaines.

Morgan Phuc

Cofounder @ 8Decimals - Partner @ Node Guardians - Journal du Coin / Trading du Coin / BitConseil